«Північнокорейські хакери викрадають Telegram, влаштовують фальшиві дзвінки Zoom і розгортають зловмисне програмне забезпечення RAT, щоб виснажувати криптогаманці в кампанії з довгою аферою на 300 мільйонів доларів. Резюме Зловмисники викрадають довірені облікові записи Telegram, а потім заманюють керівників криптокомпаній у фальшиві дзвінки Zoom або Teams за допомогою підроблених запрошень календаря. Попередньо записане відео масок відомих діячів галузі Завантажені RAT файли «патчів», які надають хакерам», — пишуть на: www.crypto.news
Північнокорейські хакери викрадають Telegram, влаштовують фальшиві виклики Zoom і розгортають зловмисне програмне забезпечення RAT, щоб спустошити криптогаманці в рамках тривалої аферистської кампанії на 300 мільйонів доларів.
Резюме
- Зловмисники викрадають довірені облікові записи Telegram, а потім заманюють керівників криптокомпаній у фальшиві виклики Zoom або Teams за допомогою підроблених запрошень календаря.
- Попередньо записане відео відомих діячів галузі маскує завантажені RAT файли «патчів», які дають хакерам повний контроль над системою та доступ до гаманця.
- Ця схема є частиною ширшої кампанії Північної Кореї, яка вкрала понад 2 мільярди доларів криптовалюти, включаючи рекордний злом Bybit.
Північнокорейські кіберзлочинці вкрали понад 300 мільйонів доларів за допомогою складної кампанії соціальної інженерії, яка видає себе за довірених діячів галузі на підроблених відеозустрічах, згідно з попередженням системи безпеки, виданим дослідником безпеки MetaMask Тейлором Монаханом.
Північнокорейські хакери пішли на “довгу аферу”
Схема, описана як «тривала афера», націлена на керівників криптовалютних компаній через скомпрометовані канали зв’язку, зазначив Монахан у попередженні.
За словами дослідника, атака починається, коли хакери отримують контроль над довіреним обліковим записом Telegram, який зазвичай належить венчурному капіталісту або контакту на конференції, відомому жертві. Зловмисники використовують історію попереднього чату, щоб встановити легітимність, перш ніж скеровувати жертв на відеодзвінки в Zoom або Microsoft Teams через приховані посилання календаря.
Під час зустрічі жертви переглядають те, що схоже на живе відео їхнього контакту. Стрічка часто є переробленим записом з подкасту або публічного виступу, згідно з попередженням.
Атака досягає кульмінації, коли імітатор імітує технічну проблему. Після посилань на проблеми зі звуком або відео зловмисник дає вказівку жертві завантажити певний сценарій або оновити комплект розробки програмного забезпечення. Файл містить шкідливе програмне забезпечення, повідомив дослідник.
Після встановлення зловмисне програмне забезпечення — часто троян віддаленого доступу (RAT) — надає зловмисникам повний контроль над системою, згідно з попередженням. RAT викачує криптовалютні гаманці та витягує конфіденційні дані, включаючи внутрішні протоколи безпеки та токени сеансу Telegram, які потім використовуються для націлювання на додаткові жертви в мережі.
Монахан заявив, що операція «перетворює на зброю професійну ввічливість», використовуючи психологічний тиск ділових зустрічей, щоб викликати помилки в судженні. Дослідник порадив, що будь-який запит на завантаження програмного забезпечення під час дзвінка слід вважати активним сигналом атаки.
Стратегія підроблених зустрічей є частиною ширшої кампанії північнокорейських акторів, які, згідно з галузевими звітами, вкрали приблизно 2 мільярди доларів у індустрії криптовалют за останній рік, включаючи злом Bybit.